Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 6218 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

POP3 SSL Encrypted Email Not Getting Scanned by UTM A/V

THXEngineer
Hi All,

I need some help.  I have an old POP3 email account that's hosted by Godaddy.  Yesterday I had a virus slip through the UTM on this account via a POP3 SSL encrypted connection and I'm trying to prevent it from happening again.

I access this email account from Outlook on my PC via an Incoming POP3 Server that requires SSL encryption on Port 995 and SSL encryption on an SMTP Outgoing Server on Port 465.

I also access this same email account from my iPhone using a different, unencrypted POP3 server using the default port 110.  The iPhone accesses this account via Wi-Fi that is filtered by the UTM.

I'm currently using UTM firmware 9.310-11 on bare metal and have POP3 email A/V scanning enabled using dual A/V scan engines with a max attachment size of 50 Mb.  I do NOT have "Scan TLS encrypted POP3 traffic" checked on the "Advanced" page.

I currently have no problems downloading email through the encrypted POP3 SSL connection, which I know was a bug / issue awhile back.

However, yesterday, the UTM intercepted the virus that came to the iPhone via the unencrypted server but missed the same virus in the same email when I downloaded it via the SSL encrypted server in Outlook.

I'm assuming that my issue is related to the "Scan TLS encrypted POP3 traffic" setting.  However, I've been under the assumption (possibly incorrectly) that SSL and TLS were similar, but different forms of encryption and that that was the reason you have choice between SSL and TLS encryption in Windows' "Mail" advanced settings.

I've searched various threads to find this particular issue, but haven't been able to find an answer, so if this has been previously answered, please point me in the right direction.  Otherwise, what would be the correct settings for me to use?

Any assistance will be greatly appreciated.

Thanks,

Ben


This thread was automatically locked due to age.
Parents
  • 0
    Well, I guess the old saying is true: "if you ain't learnin', you ain't livin' " [:)]

    I now know that TLS is the "new" SSL (sort of).

    So I enabled "Scan TLS encrypted POP3 traffic" and tried using the UTM's Local X509 certificate.

    When Outlook started, I got the "Internet Security Warning" from Windows / Outlook "The server you are connected to is using a security certificate that cannot be verified.  The target principal name is incorrect".  So I clicked, "View Certificate" to verify that it was my UTM's certificate that was trying to be installed, which it was.  Then I clicked "Install Certificate", which brought up Windows' "Certificate Import Wizard", which I ran through, letting Windows automatically select the certificate store.  The wizard completed with the "Import Successful" dialog box and everything seemed great.

    In Outlook, I clicked "Send/Receive All Folders" and everything connected properly and the SSL connection emails were all downloaded no problem.  Great, problem solved.  I even re-downloaded the infected email then forwarded it to myself and Sophos UTM caught it both times, incoming and outgoing (although the outgoing message was just plain text instead of the Sophos HTML message, so I'm assuming the UTM caught it and it wasn't a message from my ISP, etc).

    However, now every time I close Outlook, then re-open Outlook, I get the same "Internet Security Warning" asking me to trust the UTM's certificate.

    I tried re-installing the UTM's certificate using the WebAdmin certificate instead of the X509 and I also tried installing the certificate directly into the "Trusted Root Certificate Authorities" Store directly.  However, I still get the annoying "Internet Security Warning" pop-up each time I re-start Outlook.

    Any suggestions on how to properly install the certificate so that I don't get the "Internet Security Warning" message each time I start Outlook would be greatly appreciated.  Is there something I need to do in "MMC", similar to how the original proxy certificates were installed in Windows?

    Finally, a quick side note:

    When I originally downloaded the virus, Sophos reported it as "Mal/Upatre-R".  However, 2 days later when I re-downloaded the same virus, Sophos reported it as "TR/Yarwi.A.106".  Would the different name most likely be the result of Sophos updating / refining their database after a few days or something else?

    Thanks,

    Ben
Reply
  • 0
    Well, I guess the old saying is true: "if you ain't learnin', you ain't livin' " [:)]

    I now know that TLS is the "new" SSL (sort of).

    So I enabled "Scan TLS encrypted POP3 traffic" and tried using the UTM's Local X509 certificate.

    When Outlook started, I got the "Internet Security Warning" from Windows / Outlook "The server you are connected to is using a security certificate that cannot be verified.  The target principal name is incorrect".  So I clicked, "View Certificate" to verify that it was my UTM's certificate that was trying to be installed, which it was.  Then I clicked "Install Certificate", which brought up Windows' "Certificate Import Wizard", which I ran through, letting Windows automatically select the certificate store.  The wizard completed with the "Import Successful" dialog box and everything seemed great.

    In Outlook, I clicked "Send/Receive All Folders" and everything connected properly and the SSL connection emails were all downloaded no problem.  Great, problem solved.  I even re-downloaded the infected email then forwarded it to myself and Sophos UTM caught it both times, incoming and outgoing (although the outgoing message was just plain text instead of the Sophos HTML message, so I'm assuming the UTM caught it and it wasn't a message from my ISP, etc).

    However, now every time I close Outlook, then re-open Outlook, I get the same "Internet Security Warning" asking me to trust the UTM's certificate.

    I tried re-installing the UTM's certificate using the WebAdmin certificate instead of the X509 and I also tried installing the certificate directly into the "Trusted Root Certificate Authorities" Store directly.  However, I still get the annoying "Internet Security Warning" pop-up each time I re-start Outlook.

    Any suggestions on how to properly install the certificate so that I don't get the "Internet Security Warning" message each time I start Outlook would be greatly appreciated.  Is there something I need to do in "MMC", similar to how the original proxy certificates were installed in Windows?

    Finally, a quick side note:

    When I originally downloaded the virus, Sophos reported it as "Mal/Upatre-R".  However, 2 days later when I re-downloaded the same virus, Sophos reported it as "TR/Yarwi.A.106".  Would the different name most likely be the result of Sophos updating / refining their database after a few days or something else?

    Thanks,

    Ben
Children
No Data
Unfiltered HTML